如何降低網(wǎng)絡(luò)攻擊者入侵風(fēng)險

盡管企業(yè)會花費大量資源來提高組織安全性，但不能做到絕對的100%安全。網(wǎng)絡(luò)攻擊通常會影響企業(yè)數(shù)據(jù)的機密性，完整性和可用性。

網(wǎng)絡(luò)攻擊存在以下幾種類型：

勒索軟件

勒索軟件是一種專門用于阻止數(shù)據(jù)訪問的惡意軟件。勒索軟件通常對數(shù)據(jù)進行加密，因此數(shù)據(jù)不能像往常一樣被訪問。網(wǎng)絡(luò)攻擊者使用這種惡意軟件加密數(shù)據(jù)，并要求提供解碼密鑰的贖金。因此得名勒索軟件。

數(shù)據(jù)泄露

數(shù)據(jù)泄露是網(wǎng)絡(luò)攻擊者試圖獲取組織敏感數(shù)據(jù)的攻擊類型。一旦他們拿到數(shù)據(jù)就會竊取數(shù)據(jù)。然后將這些竊取的數(shù)據(jù)在各種市場上出售給感興趣的人，或者他們直接發(fā)布這些數(shù)據(jù)。不管怎樣，這對組織來說都是巨大的風(fēng)險。

拒絕服務(wù) (DoS)

拒絕服務(wù)攻擊的目的是通過使企業(yè)的服務(wù)不可用來損害其運營。這是通過大量的請求使服務(wù)器不堪重負，從而導(dǎo)致服務(wù)器變慢或崩潰來實現(xiàn)的。

帳戶泄露

賬戶泄露通常不是網(wǎng)絡(luò)攻擊的最終目標，而是中間步驟。網(wǎng)絡(luò)攻擊者利用社會工程、暴力強迫或利用其他安全弱點來破壞賬戶。

在對企業(yè)網(wǎng)絡(luò)進行破壞之前一般會有5個階段：

• 偵測
• 掃描
• 開發(fā)
• 維護訪問
• 覆蓋跟蹤

偵測

偵測是網(wǎng)絡(luò)攻擊者攻擊周期的第一個階段，試圖熟悉目標。收集這些信息可以建立一個目標的粗略藍圖，用來計劃他們的攻擊。偵測有兩種類型：

主動偵測：在這種類型中，攻擊者與目標交戰(zhàn)或通信，目標系統(tǒng)可以檢測到偵測活動。主動偵察的一個簡單示例是 ping 探測器。

被動偵察：采用更隱蔽的方法。攻擊者不與目標系統(tǒng)互動，而是嘗試收集其他平臺上已有的信息。例如，使用搜索引擎或人員數(shù)據(jù)庫。

掃描

在此階段，網(wǎng)絡(luò)攻擊者使用從上一階段收集的信息，并嘗試找到可以利用的缺陷和安全漏洞。掃描可以非常簡單，只需識別攻擊者可能試圖攻擊的服務(wù)，或者運行漏洞掃描來識別要利用的現(xiàn)有漏洞。此外，黑客還可以使用網(wǎng)絡(luò)掃描來探測目標的網(wǎng)絡(luò)，以繪制目標的基礎(chǔ)設(shè)施。

開發(fā)

這是真正“入侵”發(fā)生的階段。網(wǎng)絡(luò)攻擊者利用安全漏洞，破壞目標的安全性，并獲得訪問其系統(tǒng)的權(quán)限。根據(jù)漏洞的類型和攻擊者的意圖，黑客可以執(zhí)行各種惡意操作。例如，他們可以試圖獲得更高的特權(quán)或訪問網(wǎng)絡(luò)中的關(guān)鍵系統(tǒng)，或竊取數(shù)據(jù)。

維護訪問

在大多數(shù)有針對性的網(wǎng)絡(luò)攻擊中，當(dāng)攻擊者成功突破防御時，他們都有一個遵循的計劃。有時可能想進一步利用目標或執(zhí)行更多惡意操作。因此，網(wǎng)絡(luò)攻擊者通常會采取措施保持對被破壞系統(tǒng)的持續(xù)訪問。

覆蓋軌跡

完美的網(wǎng)絡(luò)攻擊是指系統(tǒng)沒有意識到攻擊已經(jīng)發(fā)生。出于這個目的，網(wǎng)絡(luò)攻擊者會試圖清除他們可能留下的所有證據(jù)和痕跡。即使系統(tǒng)識別出了漏洞，刪除或修改一些數(shù)據(jù)，如日志、注冊表項等，也會使識別變得困難。

如何減少網(wǎng)絡(luò)攻擊

為了防止網(wǎng)絡(luò)攻擊者在組織系統(tǒng)內(nèi)長期潛伏，可以采取以下措施：

社交工程和密碼

組織培訓(xùn)企業(yè)員工進行基本安全實踐方面培訓(xùn)，了解社會工程及如何應(yīng)對。使用強密碼，識別釣魚郵件及其他可疑數(shù)據(jù)等。除此之外，MFA和其他強大的身份驗證機制將增加更多的安全性。

漏洞管理

漏洞是網(wǎng)絡(luò)攻擊者入侵系統(tǒng)的常用方式之一，除了投入精力修復(fù)漏洞外，在軟件開發(fā)期間通過靜態(tài)代碼檢測有助于從源頭減少缺陷及漏洞，降低漏洞利用風(fēng)險。

防火墻、IDS 和 IPS

如今，防火墻、IDS 和 IPS已成為網(wǎng)絡(luò)安全常見的一部分。它們是抵御 APT 的第一道防線。這些工具利用指示攻擊的規(guī)則，從而防止常見的 APT。

查看安全關(guān)鍵活動

密切留意對安全至關(guān)重要的活動，例如新帳戶的創(chuàng)建、特權(quán)更改、新服務(wù)、日志服務(wù)的問題等，這些活動可能是網(wǎng)絡(luò)入侵的早期跡象。

檢測篡改

黑客試圖篡改關(guān)鍵文件，如操作系統(tǒng)文件、配置文件和注冊表項。如果不進行監(jiān)視和調(diào)查，這些更改可能會在發(fā)起最終攻擊時使防御薄弱，或者可能難以更深入地挖掘事件。

端點檢測和響應(yīng) (EDR)

EDR監(jiān)視和控制端點活動。如果黑客計劃感染一個系統(tǒng)，然后通過網(wǎng)絡(luò)傳播感染。EDR可以檢測第一個系統(tǒng)的感染并隔離資產(chǎn)，將其與網(wǎng)絡(luò)中的其他節(jié)點隔離。

查找異常

異常是任何不正常的行為。查找異常有助于識別感染或持續(xù)存在的早期跡象。例如，如果有 2 個資產(chǎn)沒有理由相互通信，但它們之間存在數(shù)據(jù)傳輸，則需要調(diào)查。

異常指任何不正常的行為。尋找異?？梢宰R別感染或網(wǎng)絡(luò)攻擊持續(xù)存在的早期跡象。

來源：

https://www.softwaresecured.com/preventing-attackers-from-gaining-persistence-within-your-environment/